MITRE ATT&CK for ICSとは?
産業制御システム(ICS)脅威モデリングのためのMITRE ATT&CK®フレームワークは、運用技術(OT )環境に対する悪意あるサイバーセキュリティイベントを分類します。そのオントロジーは、各イベントを特定の戦術として分類し、各戦術を 1 つ以上の上位の技 術カテゴリにマッピングします。
このコミュニティ・ソース・フレームワークの核心は、敵対者が取る可能性のある行動を記述し、脅威行為者の行動に関する知識ベースを作成することである。セキュリティチームはこの情報を使って、組織のセキュリティ戦略とポリシーを強化することができる。
MITRE ATT&CK フレームワーク オントロジー
MITRE ATT&CK Framework for ICS の要素は、物理的な運用環境の特徴を反映している。PLC、アクチュエータ、センサなどのデバイスを含む運用技術に焦点を当てている。これらの資産には、バルブやモーター、送電線や浄水場などが含まれ、いずれも厳格な安全性と可用性の要件がある。
このフレームワークは、攻撃がOT の資産に及ぼしうる影響について明確な分類を提供する。このフレームワークは、攻撃の連鎖全体を構成する11の技術カテゴリーからなる。これらのカテゴリーは以下の通りである:
戦術は大きく3つに分けられる:
- 偵察と攻撃のステージング- 初期アクセス、実行、持続、回避、発見、側方移動、収集、指揮統制
- 攻撃の実行-応答機能の阻害、プロセス制御の妨害
- アタック・インパクト
MITRE ATT&CK for Enterprise と MITRE ATT&CK for ICS の違い
MITRE はまた、 IT エンタープライズ環境のためのフレームワークを確立した。このフレームワークは、特にIT分野の人々のための知識ベースを提供するように設計されている。
攻撃戦術の数々を効果的に説明しているが、残念ながら、これらの理由から、OT の環境と効果的に統合することはできない:
- 敵対者の動機、目的、意図は異なる。OT 環境における主な目標は、OT 分野特有の特殊なハードウェアによって制御される物理的プロセスにアクセスし、障害を与えることである。産業プロセスに影響を与えるためには、ラダーロジックや安全機能のようなその分野に共通する要素が、敵の視点から見ると、新しい戦術、方法、ツールのセットを必要とする。また、ロボットアームを停止させたり、オペレータに報告するプロセス変数を操作したりするようなイベントを記述するためには、新しいオントロジーが必要となる。
- 攻撃の段階とライフサイクルは異なる。ICS環境は、運用と安全要素に重点を置いている。ここでの敵の主な目標は、運用プロセスを妨げることである。これには、運用と安全要因の操作を含む追加の段階が含まれる。
- 最後に、全体的に技術が異なる。知識ベースから生み出される緩和戦略には、安全性と可用性の制約がある。この環境は、プロセスに影響を与える可能性のある政策変更に対して非常に抵抗力がある。フレームワークに基づくすべての戦略は、それらの要因を反映することになる。
パデュー・モデルの上位レベル(ヒストリ、ワークステーションなど)には企業向け MITRE フレームワークを、下位レベル(PLC、アクチュエータ、センサーなど)には ICS 向け MITRE フレームワークを使用するのが、最も包括的で最適なアプローチである。こうすることで、それぞれの環境を標的とする脅威に特化した知識ベースを活用することができます。
ICSのためのMITREフレームワークの価値
MITRE ATT&CK Framework for ICS の主な価値は、その分類が実世界の経験を反映していることである。このアプローチは敵対者のノウハウの伝達を試み、APT の複雑な手法やツールをナビゲートします。これは、攻撃に対する概念的なアプローチと、実際のインシデントに対する知識ベースを提供します。
一例として、TRITONのような攻撃は、攻撃の重要なステップを洞察する抽象的なカテゴリーに分解することができる。例えば、TRITONがネットワークに侵入するために使用する回避戦術の1つに、特定のアイコンとファイル名「trilog.exe」があります。これは、エンジニアを騙して、SISログを分析するためのTriconexソフトウェアに関連する正当な実行ファイルを見たかのように思わせるために使用されるもので、マスカレード技術 (ID T849)を使って フレームワークに簡単にマッピングできるものです。これは、敵が何に注目し、目的を達成するためのアプローチを示しています。この場合、フレームワークは、実際の経験に基づき、組織のセキュリティを強化するためのガイドとして使用することができます。
MITRE ATT&CKフレームワークの複雑性:正常と悪意の識別
MITRE のフレームワークには、考慮すべき複雑な点がいくつかある。ATT&CK テクニックは有用な知識ベースと、攻撃者が侵害後にたどる可能性のある方向性の理解を提 供するが、これらのテクニックのいくつかを検出することは実際には困難である。
例えば、ICS フレームワークのスクリーンキャプチャ(T852)やポイント&タグ識別(T861)を実装する方法はたくさんあります。例えば、画面キャプチャは携帯電話やセキュリティ管理外のカメラを介して行われるかもしれません。このような攻撃は、敵の行動に注意を喚起するようなイベントが検出されない場合、フレームワークの使い勝手がいかに妨げられるかを反映しています。
もう1つのポイントは、オントロジーには悪意のあるイベントと正当なイベントを明確に区別することが難しい要素があることです。例えば、Lateral Movement(横方向への移動)戦術には、悪意のある行為者にも正当な行為にも帰することができるリモートファイルコピー技術(T867)3があります。このため、正常な行動と悪意のある行動を区別することは困難です。
さらに、このフレームワークでは未知の事象を考慮することができない。これは、ライブのICS環境で発生するインシデントの数が少ないこと、およびその一部に関する詳細な公開報告がないことに起因している。攻撃者は行動し、防御者は反応する。この情報の非対称性により、ある時点で最先端の攻撃者が積極的に使用しているテクニックがフレームワークに含まれていない可能性がある。
最後に、このフレームワークには、実際の実装において複雑さがある。Nozomi Networks など、いくつかのセキュリティ企業がICSフレームワークのサポートを開始している。完全にサポートしていると主張するベンダーもあるかもしれないが、現実には、完全な実装には長い道のりが必要であり、時間をかけて絶え間ない努力が必要である。
実際、イベントの検出に必要なすべての要素を可視化する「何でも屋」のようなソリューションがない場合、攻撃者は特定のタスクを達成するために非常に異なるアプローチを使用する可能性があります。また、攻撃の連鎖をエンド・ツー・エンドで可視化するために、あらゆるカテゴリーの手口を見ることも難しい。そのためには、ゲートウェイ、IDS/IPS、デバイス上のエージェントなど、複数の場所でインスツルメンテーションを行う必要がある。
例えば、ウイルス対策ソリューションはワークステーションの可視性を提供するが、産業用コントローラやアクチュエータを洞察することはできない。これらのOT 要素は、IDSソリューションのようなネットワーク・モニタリング・アプローチを必要とする。敵対者による正当な認証情報の使用には、確立されたアクセス・コントロール・ポリシーの監視が必要である。これらの要素は、フレームワークの効果的な使用には、オペレータがフレームワークから利益を得ることを可能にする複数のレベルの防御とベストプラクティスが必要であることを示している。
ICS導入のためのMITRE ATT&CKフレームワーク
私たちは、ICS向けのMITRE ATT&CKフレームワークが、インシデントを記述し、脅威行為者の行動を詳細に洞察する上で効果的であると考えています。また、サイバーインシデントの可視性を高めるために、常に新しい技術の導入に取り組んでいます。
例えば、Threat Intelligence サービスからの以下の画像は、実行戦術の適切なテクニック(T830)に分類された中間者攻撃(Adversary in the Middle)を示しています。
脅威要因やサイバー攻撃は絶えず進化しているため、常に最新の情報を入手することが重要です。ぜひNozomi Networks Labs をご購読いただき、Nozomi Networks Labs セキュリティ・リサーチ・チームが開発した脅威勧告、セキュリティ・レポート、ウェビナー、ポッドキャスト、その他の無料ツールを含むサイバーセキュリティ・コミュニティ・リソースをご活用ください。
